web-dev-qa-db-ja.com

ネットワーク上の未知のワームの削除/根絶にどのように対処しますか?

TL; DR

私たちの小さなネットワークは、ある種のワーム/ウイルスに感染していると確信しています。 Windows XPマシンだけが問題になっているようですが、Windows 7マシンとLinux(そうですね)コンピューターは影響を受けていないようです。ウイルス対策スキャンでは何も表示されていませんが、ドメインサーバーが表示されています。さまざまな有効および無効なユーザーアカウント、特に管理者に対して何千ものログイン試行の失敗を記録しました。この身元不明のワームの拡散を防ぐにはどうすればよいですか?

症状

一部のWindows XPユーザーは、完全に同一ではありませんが、同様の問題を報告しています。すべてのユーザーが、ソフトウェアによって開始されるランダムなシャットダウン/再起動を経験します。コンピューターの1つで、カウントダウンとともにダイアログがポップアップします。システムが再起動するまで、明らかにNT-AUTHORITY\SYSTEMによって開始され、RPC呼び出しに関係します。特にこのダイアログは、古いRPCエクスプロイトワームについて詳しく説明している記事で説明されているものとまったく同じです。

2台のコンピューターを再起動すると、ログインプロンプトで起動しましたが(ドメインコンピューターです)、管理者としてログインしていなくても、表示されるユーザー名は「admin」でした。

ドメインを実行しているWindowsServer 2003マシンで、さまざまなソースからの数千回のログイン試行に気づきました。彼らは、管理者、管理者、ユーザー、サーバー、所有者などを含むすべての異なるログイン名を試しました。

一部のログにはIPがリストされていましたが、リストされていないものもありました。 (失敗したログイン用の)送信元IPアドレスを持っていたもののうち、2つは再起動が発生している2つのWindows XPマシンに対応します。ちょうど昨日、外部からのログイン試行の失敗に気づきました。 IPアドレス。tracerouteは、外部IPアドレスがカナダのISPからのものであることを示しました。そこから接続するべきではありません(ただし、VPNユーザーはいます)。したがって、ログイン試行で何が起こっているのかまだわかりません。外国のIPから来ています。

これらのコンピューターに何らかのマルウェアが存在することは明らかであり、その一部は、アクセスを取得するためにドメインアカウントのパスワードを列挙しようとすることです。

これまでにやったこと

何が起こっているのかを理解した後、私の最初のステップは、全員が最新のアンチウイルスを実行していることを確認し、スキャンを実行することでした。影響を受けたコンピューターのうち、1台には期限切れのアンチウイルスクライアントがありますが、他の2台はノートンの現在のバージョンであり、両方のシステムのフルスキャンでは何も見つかりませんでした。

サーバー自体は定期的に最新のアンチウイルスを実行しており、感染は見られません。

したがって、Windows NTベースのコンピュータの3/4には最新のアンチウイルスがありますが、何も検出されていません。しかし、私は何かが起こっていると確信しています。これは主に、さまざまなアカウントで何千回もログインに失敗したことからも明らかです。

また、メインファイル共有のルートにはかなりオープンなアクセス許可があることに気付いたので、通常のユーザーに対しては読み取りと実行に制限しました。もちろん、管理者はフルアクセス権を持っています。また、ユーザーにパスワードを(強力なパスワードに)更新してもらい、サーバーの名前をAdministratorに変更して、パスワードを変更します。

私はすでにネットワークからマシンを取り外し、新しいマシンに交換していますが、これらはネットワークを介して広がる可能性があることを知っているので、まだこれの根底に到達する必要があります。

また、サーバーには、特定のポートのみが開いているNAT /ファイアウォール設定があります。私はLinuxのバックグラウンドを持っているので、ポートを開いた状態でWindows関連のサービスのいくつかをまだ完全に調査していません。

今何?

したがって、すべての最新のアンチウイルスは何も検出していませんが、これらのコンピューターには何らかのウイルスがあると絶対に確信しています。これは、XPマシンのランダムな再起動/不安定性と、これらのマシンからの何千ものログイン試行の組み合わせに基づいています。

私が計画しているのは、影響を受けるマシン上のユーザーファイルをバックアップしてから、Windowsを再インストールし、ドライブを新たにフォーマットすることです。また、他のマシンに拡散するために使用された可能性のある共通ファイル共有を保護するために、いくつかの対策を講じています。

これらすべてを知っているので、このワームがネットワーク上のどこかに存在しないようにするにはどうすればよいですか。また、ワームの拡散を防ぐにはどうすればよいですか。

私はこれが引き出された質問であることを知っています、しかし私はここで私の深さから外れていて、いくつかのポインターを使うことができました。

見てくれてありがとう!

windowswindows-server-2003securitynetwork-monitoringmalware
13
Mr. Shickadance

これらは、この種のプロセスに対する私の一般的な提案です。すでにそれらのいくつかをカバーしていることを感謝しますが、重要なことを見逃すよりも、2回言われたほうがよいでしょう。これらのメモは、LAN上で拡散しているマルウェアを対象としていますが、より軽微な感染に対処するために簡単に縮小することができます。

腐敗を止め、感染源を見つける。

  1. ビジネスが関心を持っているこのネットワーク上のすべてのシステムとデータのすべてのビットの最新のバックアップがあることを確認してください。これに注意してください復元メディアが危険にさらされている可能性があるため、背中を向けてネットワークに再び感染している間、3か月以内に復元しようとしないでください。感染が発生する前のバックアップがある場合は、これも安全に片側に置いてください。

  2. 可能であれば、ライブネットワークをシャットダウンします(少なくとも、クリーンアッププロセスの一部としてこれを行う必要があります)。少なくとも、何が起こっているのかがわかるまで、サーバーを含むこのネットワークをインターネットから遮断することを真剣に検討してください。このワームが情報を盗んでいる場合はどうでしょうか。

  3. 自分より先に進まないでください。この時点ですべてをクリーンビルドし、全員にパスワードの変更などを強制し、それを呼び出すのは魅力的です。十分に良い」。 遅かれ早かれこれを行う必要があるかもしれませんが、LANで何が起こっているのかを理解していないと、感染のポケットが残る可能性があります。 (感染をさらに調査したくない場合は、ステップ6に進みます)

  4. 感染したマシンをある種の仮想環境にコピーし、侵害されたゲストを起動する前に、この仮想環境をホストマシンを含む他のすべてから分離します

  5. 感染するクリーンな仮想ゲストマシンをもう2つ作成し、そのネットワークを分離し、 wireshark などのツールを使用してネットワークトラフィックを監視します(そのLinuxバックグラウンドを利用して作成する時間Windowsワームに感染することなくこのすべてのトラフィックを監視できるこの仮想LAN上の別のゲスト!)および プロセスモニター これらすべてのマシンで発生する変更を監視します。また、問題が十分に隠されている可能性があることも考慮してください rootkit -これらを見つけるために評判の良いツールを使用してみてください。

  6. (メインLANをシャットダウンしていない/シャットダウンできないと仮定)メインLANでwiresharkを使用して、感染したマシンとの間で送受信されるトラフィックを確認します。マシンからの説明のつかないトラフィックを潜在的に疑わしいものとして扱います-目に見える症状がないことは、妥協がないことの証拠ではありません。特に、ビジネスに不可欠な情報を実行しているサーバーやワークステーションについて心配する必要があります。

  7. 仮想ゲストで感染したプロセスを分離すると、使用しているウイルス対策ソフトウェアを作成した会社にサンプルを送信できるようになりますこれらのマシンで。彼らはサンプルを調べて、新しいマルウェアの修正を作成することに熱心になります。実際、まだそうしていなければ、彼らが何らかの助けになるかもしれないので、あなたは彼らにあなたの悲惨な話を連絡するべきです。

  8. 元の感染ベクトルが何であるかを理解するために非常に努力してください-このワームは、誰かがアクセスした侵害されたWebサイト内に隠されたエクスプロイトである可能性があります。いくつかの方法を挙げれば、誰かの家からメモリースティックで持ち込まれたり、電子メールで受信されたりしたことがあります。このエクスプロイトは、管理者権限を持つユーザーを介してこれらのマシンを侵害しましたか?その場合、今後ユーザーに管理者権限を付与しないでください。感染源が修正されていることを確認する必要があります。また、将来のエクスプロイトでその感染ルートをより困難にするために行うことができる手順の変更があるかどうかを確認する必要があります。

掃除

これらのステップのいくつかは上に見えるでしょう。それらのいくつかはおそらく上にあります。特に、実際に侵害されているマシンが少ないと判断した場合はそうですが、ネットワークが可能な限りクリーンであることを保証する必要があります。ボスもこれらのステップのいくつかに熱心ではありませんが、それについてやるべきことはあまりありません。

  1. ネットワーク上のすべてのマシンをシャットダウンします。すべてのワークステーション。すべてのサーバー。すべて。はい、息子が仕事を終えるのを待っている間に息子がネットワークに忍び込んで息子が遊ぶことができるようにするために使用する上司の10代の息子のラップトップでさえ 'dubious-javascript-exploit-Ville '現在のソーシャルメディアサイトdu-jourが何であれ。実際、それについて考えて、このマシンをシャットダウンします特に。それが必要な場合はレンガで。

  2. 各サーバーを順番に起動します。自分で発見した、またはAV会社から提供された修正を適用します。説明のつかないアカウント(ローカルアカウントとADアカウントの両方)についてユーザーとグループを監査し、インストールされているソフトウェアに予期しないものがないか監査し、別のシステムでwiresharkを使用して、このサーバーからのトラフィックを監視します(anyこの時点で問題が発生した場合は、そのサーバーの再構築を真剣に検討してください)。 次のシステムを起動する前に各システムをシャットダウンして、侵入先のマシンが他のシステムを攻撃できないようにします。または、ネットワークからプラグを抜いて、一度に複数の操作を実行できますが、相互に通信できません。すべて問題ありません。

  3. すべてのサーバーがクリーンであることが確実になったら、サーバーを起動し、wireshark、プロセスモニターなどを使用して、奇妙な動作がないか再度観察します。

  4. すべてのユーザーパスワードをリセットします。また、可能であれば、サービスアカウントのパスワードも。ええ、私はその痛みを知っています。この時点で、「おそらくトップを超えた」領域に向かおうとしています。あなたの呼び出し。

  5. すべてのワークステーションを再構築します。一度に1つずつ実行して、感染した可能性のあるマシンがLAN上でアイドル状態になり、新しく再構築されたマシンを攻撃しないようにします。はい、これにはしばらく時間がかかります。申し訳ありません。

  6. それが不可能な場合:

    すべての「うまくいけばクリーンな」ワークステーション上のサーバーに対して、上記で概説した手順を実行します。

    疑わしいアクティビティの兆候を示したすべてのマシンを再構築し、すべての「うまくいけばクリーンな」マシンの電源がオフになっている間に再構築します。

  7. 問題をサーバーに報告して、問題を監視できる集中型AV、集中型イベントロギング、ネットワークモニタリングなどをまだ検討していない場合は、このネットワークのニーズと予算に適したものを選択してください。しかし、ここには明らかに問題がありますよね?

  8. これらのマシンでのユーザー権限とソフトウェアのインストールを確認し、定期的な監査を設定して、物事が期待どおりであることを確認します。また、ユーザーがうめき声を上げずにできるだけ早く報告すること、メッセンジャーを撃つのではなくITの問題を解決するビジネス文化を奨励することなどを奨励してください。

18
Rob Moir

あなたは私がするすべてのことをしました(私がまだWindows管理者だった場合)-正規の手順は次のとおりです(または、前回私がWindowsの男だったとき):

  1. 影響を受けるマシンを分離します。
  2. アンチウイルス定義を更新する
    AV /マルウェアなどを実行します。ネットワーク全体をスキャンします
  3. 影響を受けたマシンを吹き飛ばし(吸盤を完全に拭き取ります)、再インストールします。
  4. バックアップからユーザーデータを復元します(クリーンであることを確認してください)。

ウイルス/ワーム/電子メール(メールサーバー上)またはWord/Excelドキュメントのマクロ内に潜んでいる可能性が常にあることに注意してください-問題が再発した場合は、より積極的にクリーニングする必要があります次回は。

7
voretaq7

これから学ぶ最初の教訓は、AVソリューションは完璧ではないということです。程遠い。

AVソフトウェアベンダーの最新情報を入手している場合は、ベンダーに電話してください。それらのすべてはまさにこの種のもののためのサポート番号を持っています。実際のところ、彼らはおそらくあなたを襲ったものに非常に興味を持っているでしょう。

他の人が言っているように、各マシンを降ろし、拭いてから再インストールします。とにかく、この機会を利用して全員をXP関係するマシンはそれほど多くないように思われるので、完全に新しい交換品を購入する方が良いオプションかもしれません。

また、これが高額になったことを上司に知らせてください。

最後に、なぜ世界でそれらすべてを単一のサーバーから実行するのでしょうか。 (レトリック、私はあなたがそれを「継承」したことを知っています)A DCはインターネットから決してアクセスできないはずです。必要な機能を処理するために適切なハードウェアを設置して、これを修正してください。

2
NotMe

A/Vプログラムで何も表示されない場合は、ルートキットである可能性があります。 TDSSkiller を実行してみて、何が見つかるかを確認してください。また、これは、古風なWindows XPコンピューターを10年以上前のものに置き換えるのに最適な時期です。ウイルス対策プログラムなどのソフトウェアを除いて、私はほとんど見たことがありません。シムを介して実行することができなかったプログラムの方法で、またはWindows7でいくつかのNTFS /レジストリ権限を緩めました。XPを実行し続けるための言い訳はほとんどありません。

0
Daniel Winks